image

Onderzoeker verstopt rootkits op video- en netwerkkaarten

zondag 19 november 2006, 11:47 door Redactie, 4 reacties

Beveiligingsonderzoeker John Heasman heeft deze week een artikel gepubliceerd waarin hij beschrijft hoe rootkits en malware op video- en netwerkkaarten verstopt kunnen worden, zodat ze een herinstallatie van het systeem overleven.

Het onderzoek van Heasman bouwt verder op een eerder onderzoek waarin hij beschreef hoe de Advanced Configuration and Power Interface (ACPI) functies op de meeste moederborden gebruikt kunnen worden voor het verbergen van rootkits.

De nieuwe publicatie beschrijft een manier om het beschikbare geheugen op Peripheral Component Interconnect (PCI) kaarten te gebruiken. Toch denkt Heasman niet dat de aanval veel gebruikt zal worden.

"Omdat genoeg mensen geen Windows beveiligingsupdates installeren en geen anti-virus draaien, is er weinig noodzaak voor virusschrijvers om deze technieken te gebruiken" aldus Heasman.

De verstopte rootkits zijn trouwens niet onvindbaar. Door het geheugen van systeem en PCI kaarten te auditen, kan een beheerder verdachte verborgen code vinden, zoals 32-bit code, vreemde classes en andere code die aangeeft dat het systeem gecompromitteerd is. Computers die van de Trusted Computing Module zijn voorzien kunnen niet op deze manier geinfecteerd worden.

Reacties (4)
19-11-2006, 16:33 door Anoniem
Laten we wel zijn, de run-of-the-mill sysadmins die een
Windows doos beheren kunnen niet eens een virusinfectie
ontdekken, laat staan dit soort geavanceerde technieken.
19-11-2006, 20:59 door nixfreak
run-of-the-mill

Je kunt gewoon "gemiddelde" zeggen hoor..... veel vaktaal
alhier heeft overigens typische M$-roots, en zijn echt niet
zo IT-standaard als je wel denkt...en dit taalgebruik kan ik
eigenlijk nergens onderbrengen. (ervan uitgaande dat je
reactie een duidelijke moet zijn, hetgeen je schijnbaar niet
nastreeft)

Voor de rest kletskoek........om een virus te ontdekken zul
je op een heel andere leest geschoeid moeten zijn dan een
gemiddelde sysadmin (bah, weer zo woord). Virussen worden
ontdekt door AV-software en niets anders.

Proefje,
Leg een stukje broncode van een programma (desnoods pure
mallware) voor de neus van een gemiddelde sysadmin (..) en
98% kan er echt niets mee. Waarmee ik ook gelijk wil zeggen
dat je niet perse een programmeertaal hoef te beheren om een
sysadmin (..) te kunnen zijn.


Terug naar de strekking van het bericht:
Computers die van de Trusted Computing Module zijn voorzien kunnen niet op deze manier geinfecteerd worden
Dus gewoon een manier om "Trusted Computing" in een positief daglicht te stellen.
20-11-2006, 11:45 door SirDice
Door nixfreak
run-of-the-mill
Je kunt gewoon "gemiddelde" zeggen hoor..... veel vaktaal alhier heeft overigens typische M$-roots, en zijn echt niet zo IT-standaard als je wel denkt...en dit taalgebruik kan ik eigenlijk nergens onderbrengen. (ervan uitgaande dat je reactie een duidelijke moet zijn, hetgeen je schijnbaar niet
nastreeft)
Run-of-the-mill is een "normale" uitspraak die verder helemaal niets met IT te maken heeft. Als het al vaktaal zou zijn dan is het "molenaarstaal"..
15-12-2006, 08:03 door spatieman
waazig..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.